Omzetting van de EU-richtlijn inzake beveiling van netwerk- en informatiesystemen (NIS)

SAMENVATTING

De Raad van de Europese Unie publiceerde op 21 april 2016 de nieuwe versie van de richtlijn inzake beveiling van netwerk- en informatiesystemen (NIS). Hoewel het Europees Parlement hem deze zomer nog officieel moet goedkeuren, gingen de drie EU-instellingen akkoord met de tekst en zal deze waarschijnlijk niet meer veranderen. De lidstaten moeten deze richtlijn binnen 21 maanden na zijn goedkeuring omzetten in nationale wetgeving. Ter ondersteuning van dit proces vindt u in bijlage de gids voor goede praktijken voor de implementatie van aspecten die relevant zijn voor de technologiesector en die de bedoelingen van de opstellers ook effectief waarmaken.

De NIB-richtlijn van de EU is de eerste pan-Europese wetgeving inzake cyberveiligheid en is gericht op de versterking van de cyberautoriteiten op nationaal niveau en de toename van de coördinatie tussen deze autoriteiten. Hij introduceert beveiligingseisen voor belangrijke industriële sectoren.

Nationale implementerende wetgeving mag de twee voornaamste doelstellingen van de richtlijn niet uit het oog verliezen: (1) de kritieke infrastructuur van het land een hoog niveau van cyberveiligheid garanderen; (2) een efficiënt samenwerkingsmechanisme in het leven roepen tussen EU-lidstaten om deze doelstelling te halen. De middelen moeten in de eerste plaats gaan naar het bereiken van deze twee belangrijke doelstellingen.

Voor de technologiesector zijn de bepalingen betreffende de zogenaamde digitaledienstverleners van bijzonder belang. De Richtlijn stelt duidelijk dat er een fundamenteel verschil is tussen aanbieders van essentiële diensten en digitale dienstverleners. Deze laatste worden namelijk niet als kritieke infrastructuren op zich beschouwd. De wetgeving erkent dat een incident met betrekking tot deze digitale diensten een aanzienlijk lager risiconiveau vertegenwoordigt voor de economische en openbare veiligheid van een land. Het behoud van dit onderscheid is cruciaal om de schaarse middelen van autoriteiten die moeten toezien op de regels en ze moeten afdwingen effectief en efficiënt in te zetten.

Daarom pleiten wij ervoor het beoogde toepassingsgebied van de betrokken diensten nauwlettend in de gaten te houden en vragen wij de beleidsmakers om alleen sectoren die als digitale dienstverlener of aanbieder van essentiële diensten worden geïdentificeerd in de nationale wetgeving beveiligingseisen op te leggen.

Wat rechterlijke bevoegdheid betreft, moeten digitale dienstverleners kunnen rekenen op de toepasselijke wet van het land waar hun hoofdkwartier is gevestigd, zelfs in gevallen waarbij bevoegde autoriteiten van meer dan een land zijn betrokken. Inzake toezicht, moeten de bevoegde autoriteiten kiezen voor een a-posterioriaanpak in plaats van toezicht op digitaledienstverleners algemeen te verplichten. Bovendien zouden ze zich moeten toespitsen op resultaten en het onderscheid bewaren tussen aanbieders van essentiële diensten en digitale dienstverleners door deze laatste niet te onderwerpen aan vereisten waarin de richtlijn niet voorziet, zoals auditing en bindende instructies.

De beveiligingsmaatregelen voor digitaledienstverleners zouden moeten verschillen van die voor aanbieders van essentiële diensten, aangezien de richtlijn stelt dat deze een veel lager veiligheidsrisico vertegenwoordigen. Besluitvormers moeten zich bewust zijn van het doel van de harmonisatie van deze diensten, ze moeten bestaande, door de industrie geleide internationale normen erkennen, technologiemandaten vermijden en het recht van de digitaledienstverleners respecteren dat in de richtlijn vervat zit om te kiezen voor de veiligheidsmaatregelen die het best aan hun systemen zijn aangepast. Incidentrapportage moet ook zo geharmoniseerd als mogelijk zijn op Europees niveau, zich toespitsen op incidenten die de continuïteit van de diensten beïnvloeden, de flexibiliteit in de meldingstijd respecteren en een vertrouwde omgeving creëren die het delen van informatie aanmoedigt zonder de meldende partij aan meer risico bloot te stellen.

De maatregelen die aan aanbieders van essentiële diensten zijn opgelegd zullen ook andere sectoren beïnvloeden aangezien veiligheidsmaatregelen en incidentrapportage naar beneden zullen doorstromen in de contractuele bepalingen. Dit geldt vooral voor cloudcomputerdiensten. Daardoor kunnen digitaledienstverleners onrechtstreeks onderworpen zijn aan de nationale wetgeving van hun klanten. Zij hebben er dus alle belang bij dat internationaal erkende beveiligingsmaatregelen op deze diensten van toepassing zijn. Wij stellen ook zoveel mogelijk coördinatie en synergieën voor tussen de rapportagevereisten voor aanbieders van essentiële diensten én digitaledienstverleners, aangezien deze laatste onderworpen kunnen zijn aan een dubbele kennisgeving.

De richtlijn vermeldt de ambitie om tot een hoger gemeenschappelijk niveau van beveiliging te komen van netwerken en informatiesystemen om de werking van de interne markt te verbeteren. Om dit hooggegrepen doel te bereiken, moeten de nationale omzettingen zich toespitsen op een risicogebaseerde, geharmoniseerde en internationale aanpak die de actoren van de privésector de flexibiliteit geeft om zich aan een voortdurend veranderend dreigingslandschap aan te passen, cyberautoriteiten in staat stelt beperkte middelen in te zetten op de grootste uitdagingen en erkent dat de oplossing voor een grenzeloos probleem globaal moet zijn. Wij hopen dat deze gids een handig hulpmiddel is om dat te bereiken en beantwoorden met plezier alle vragen die u nog heeft.